English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/Click.Small.HR
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/Click.Small.HR - Trojan
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
TR/Click.Small.HR
Обнаружен:
23/08/2005
Вид:
Троянская программа
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Низкий
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Да
Размер файла:
20.480 байт.
Контрольная сумма MD5:
aab0b0d92b441763d45cff47c9224bcb
Версия VDF:
6.31.1.140
Общее
Метод распространения:
• Нет собственной процедуры распространения
Псевдонимы (аliases):
• Symantec: PWSteal.Lemir
• Kaspersky: Trojan-Clicker.Win32.Small.hr
• Panda: Trj/Agent.AIA
• Bitdefender: Trojan.Clicker.Small.HR
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows 2000
• Windows XP
Последствия:
• Отключение приложений безопасности
• Изменение реестра
Файлы
Создается собственная копия:
•
%SYSDIR%
\iexplore.exe
Выполненная копия программы удаляется.
Создается файл:
–
%WINDIR%
\deleteme.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Microsoft"="
%SYSDIR%
\iexplore.exe"
Удаляются значения следующих ключей реестра:
– HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
• RavMon
• KAVPersonal50
• RavTimer
• KvMonXP
• iDuba Personal FireWall
• KAVRun
• KpopMon
• Kulansyn
• KavPFW
• KvXP
• ccApp
• SSC_UserPrompt
• NAV CfgWiz
• MCAgentExe
• McRegWiz
• MCUpdateExe
• MSKAGENTEXE
• MSKDetectorExe
• VirusScan Online
• VSOCheckTask
• McAfeeUpdaterUI
• Network Associates Error Reporting Service
• ShStatEXE
• KavStart
• Services
• KWatch9x
– HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
• iDuba Personal FireWall
• KavPFW
• KvXP
Добавляются следующие ключи реестра:
– HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\MskService
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\FireSvc
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\McShield
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
• Start=dword:00000004
– HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework
• Start=dword:00000004
Завершение процесса
Список завершаемых процессов:
• CCAPP.EXE; EGHOST.EXE; explor.exe; FireTray.exe; Iparmor.exe;
KATMain.EX; KAV32.EXE; KAVPFW.EXE; KAVPLUS.EXE; KAVStart.exe;
KmailMon.EXE; KPOPMON.EXE; KRegEx.exe; KVCENTER.KXP; KvDetech.exe;
KVFW.EXE; KVMonXP.KXP; KVOL.exe; kvolself.exe; KVXP.KXP; KWatch9x.exe;
KWATCHUI.EXE; MAILMON.EXE; MCAGENT.EXE; MCVSESCN.EXE; MSKAGENT.EXE;
RAV.EXE; RAVMON.EXE; RAVTIMER.EXE; SHSTAT.EXE; SOFTOK.EXE; TBMon.exe;
TrojanDetector.EXE; TrojDie.kxp; UpdaterUI.exe; windox.exe
Завершаются процессы со следующими характеристиками:
• Название: Symantec AntiVirus Имя класса: KV2004
• Название: RavMon.exe Имя класса: RavMonClass
• Название: ZoneAlarm Имя класса: ZAFrameWnd
• Название:
%Двухбайтовый символ%
Имя класса: Tapplication
• Название:
%Двухбайтовый символ%
Имя класса: TForm1
• Название:
%Случайно%
Имя класса: TfLockDownMain
• Название:
%Случайно%
Имя класса: KvXP_ExpertFrame
• Название:
%Случайно%
Имя класса: WHXMDI0
Список завершаемых служб:
• ccEvtMgr; ccProxy; ccSetMgr; FireSvc; kavsvc; KPfwSvc; KVSrvXP;
KWatchSvc; McAfeeFramework; McShield; McTaskManager; MskService;
navapsvc; NPFMntor; RsCCenter; RsRavMon; SNDSrvc; SPBBCSvc; Symantec
Core LC; wscsvc
Данные файла
Язык программирования:
Программа была написана на Delphi.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Irina Boldea Tue, 23 Aug 2005 09:15 (GMT+1)
Описание обновлено: Irina Boldea Mon, 29 Aug 2005 08:34 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.CR
TR/Dldr.Java.OpenConnection.AQ
DR/Buzus.qvy
DR/Mirar.AJ
EXP/Flash.1275
CC/00233
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info TR/Click.Small.HR
Print this page
.gif)
